Google advierte sobre el exploit 'Google Calendar RAT' en un informe de seguridad
Noticia de Ciberseguridad - Nov 08, 2023
El último informe trimestral de seguridad de Google ha encendido las alarmas en la comunidad de ciberseguridad sobre el uso cada vez mayor de los atacantes de herramientas nativas en la nube para ocultar sus actividades maliciosas.
Se ha identificado un exploit de prueba de concepto, conocido como "Google Calendar RAT", que permite utilizar como arma los eventos de Google Calendar para operaciones de comando y control (C2).
Creciente interés por parte de los ciberdelincuentes
Publicado inicialmente en GitHub en junio, el exploit se ha bifurcado varias veces, lo que indica un creciente interés por parte de los ciberdelincuentes. Si bien no se han observado ataques activos, el hecho de compartir el exploit en foros de ciberdelincuentes sugiere que los atacantes están considerando su potencial.
La respuesta de Google
Para contrarrestar la amenaza, Google ha lanzado un parche. Sin embargo, Matt Shelton, jefe de investigación y análisis de amenazas de Google Cloud, advierte que "todos los servicios de la nube podrían ser utilizados por un atacante para abusar de los clientes", lo que indica que este puede ser el comienzo de una nueva tendencia en los ciberataques.
Mecanismo de explotación
El exploit fue diseñado por el investigador de TI Valerio Alessandroni y destaca por su simplicidad, ya que reduce significativamente la cantidad de infraestructura necesaria para un centro C2. Los pasos para utilizar el exploit son los siguientes:
-
Recupere el archivo credenciales.json y colóquelo en la misma carpeta que el script malicioso.
-
Cree un nuevo Calendario de Google y compártalo con la cuenta de servicio de Google.
-
Edite el script para que apunte a la dirección del calendario.
-
Ejecute comandos utilizando los campos de descripción de eventos en el calendario.
Una vez implementado en una máquina comprometida, RAT busca comandos, los ejecuta y devuelve el resultado dentro del campo de descripción del evento, utilizando efectivamente el calendario como terminal.
La simplicidad y la dependencia de una infraestructura de nube legítima hacen que Google Calendar RAT sea particularmente peligroso y difícil de identificar y mitigar.
Mantenerse protegido
A la luz de estas amenazas, se insta a los usuarios a tomar medidas proactivas para protegerse contra RAT y otras amenazas cibernéticas. Las recomendaciones incluyen:
-
Actualizar periódicamente todo el software para garantizar que se instalen los últimos parches de seguridad.
-
Usar software de seguridad especializado como Bitdefender Total Security para detectar y neutralizar RAT y otras amenazas digitales.
-
Ser cauteloso con las invitaciones a eventos del calendario y los enlaces de fuentes desconocidas.
-
Implementar contraseñas seguras y únicas y considerar la autenticación multifactor para una capa adicional de seguridad.
-
Aprender sobre las últimas amenazas cibernéticas y mantenerse informado sobre nuevas actualizaciones y prácticas de seguridad.
Fuente: Bitdefender Central